|
(11) | EP 2 236 999 A1 |
| (12) | EUROPÄISCHE PATENTANMELDUNG |
|
|
|
|
||||||||||||||||
|
|||||||||||||||||
| (54) | Feldgerät mit zwei Prozessoren |
| (57) Gemäß einem Ausführungsbeispiel der Erfindung ist ein Feldgerät zum Messen eines
Füllstands, eines Drucks oder einer Dichte eines Mediums in einem Behälter angegeben,
welches zwei voneinander getrennte Prozessoren aufweist. Der erste Prozessor entspricht
einem niedrigeren Sicherheitsstandard und der zweite Prozessor entspricht einem höheren
Sicherheitsstandard. Sicherheitsgerichtete Funktionen des Feldgeräts werden im zweiten
Prozessor ausgeführt. Weniger sicherheitskritische Funktionen werden im ersten Prozessor
ausgeführt. Der Datenaustausch zwischen den beiden Prozessoren wird über ein Betriebssystem
gesteuert.
|
Gebiet der Erfindung
[0001] Die Erfindung betrifft die Füllstands-, Druck- und Dichtemessung. Insbesondere betrifft die Erfindung eine Elektronikeinheit, beispielsweise ein Feldgerät zum Messen eines Füllstands, eines Drucks oder einer Dichte eines Mediums in einem Behälter oder ein Auswertegerät, ein Verfahren zur Messung und Bestimmung eines Füllstands, eines Drucks oder einer Dichte eines Mediums in einem Behälter, ein Programmelement sowie ein computerlesbares Medium.
Technologischer Hintergrund
[0002] Entwicklungen hinsichtlich "funktionaler Sicherheit" im Bereich der Füllstandmessung, der Druckmessung und/oder der Dichtemessung erfordern oft einen hohen Aufwand an Zeit und Qualifikation des Entwicklungsteams.
[0003] Die Mess- oder Auswertegeräte, die eine Sicherheitsfunktion ausführen, haben in der Regel weitere Funktionen, die keinen Beitrag zur Ausführung der Sicherheitsfunktion liefern. Nicht-sicherheitsgerichtete Funktionen müssen in der Regel hinsichtlich ihrer Rückwirkung auf die Sicherheitsfunktion betrachtet werden.
[0004] Dies kann zur Folge haben, dass auch diese Funktionalitäten meist kritisch eingestuft werden müssen und somit ein erhöhter Entwicklungsaufwand entsteht.
Zusammenfassung der Erfindung
[0005] Es ist eine Aufgabe der Erfindung, eine Elektronikeinheit für die Füllstand- Druck-oder Dichtemessung bereitzustellen, welche erhöhten Sicherheitsanforderungen genügt.
[0006] Es sind eine Elektronikeinheit für die Füllstandmessung, die Druckmessung oder die Dichtemessung eines Mediums in einem Behälter, insbesondere für ein Messgerät oder ein Auswertgerät, ein Verfahren zur Messung und Bestimmung eines Füllstands, eines Drucks und/oder einer Dichte eines Mediums in einem Behälter, ein Programmelement und ein computerlesbares Medium gemäß den Merkmalen der unabhängigen Ansprüche angegeben. Weiterbildungen der Erfindung ergeben sich aus den Unteransprüchen.
[0007] Die beschriebenen Ausführungsbeispiele betreffen gleichermaßen die Elektronikeinheit, das Verfahren, das Programmelement und das computerlesbare Medium. In anderen Worten lassen sich die im Folgenden im Hinblick auf die Elektronikeinheit genannten Merkmale auch in dem Verfahren, dem Programmelement oder dem computerlesbaren Medium implementieren, und umgekehrt.
[0008] Gemäß einem Ausführungsbeispiel der Erfindung ist eine, beispielsweise modulare Elektronikeinheit für die Füllstandmessung, die Druckmessung oder die Dichtemessung eines Mediums in einem Behälter angegeben, die Elektronikeinheit aufweisend einen ersten Prozessor und einen zweiten Prozessor, wobei die Elektronikeinheit zum Ausführen von sicherheitskritischen und nicht-sicherheitskritischen Funktionen ausgeführt ist, und wobei der erste Prozessor zum Ausführen nur der nicht-sicherheitskritischen Funktionen und der zweite Prozessor zum Ausführen der sicherheitskritischen Funktionen ausgeführt ist.
[0009] Auf diese Weise kann die Trennung von sicherheitskritischen Funktionen der Elektronikeinheit und nicht-sicherheitskritischen Funktionen der Elektronikeinheit (wie beispielsweise Diagnose, Datenlogger, Statistik, Messwertanzeige) erreicht werden.
[0010] Aufgrund der Trennung der beiden Prozessoren und damit der verschiedenen Funktionen, die in der Elektronikeinheit ausgeführt werden, können die nicht-sicherheitskritischen bzw. nicht-sicherheitsgerichteten Funktionen mit einem geringerem Aufwand entwickelt werden als die übrigen Funktionen. Somit ist es auch möglich, Softwareteile oder Hardwareteile einzusetzen, die bereits vorhanden sind oder eingekauft werden und keine erhöhten Anforderungen hinsichtlich der Sicherheitsintegrität erfüllen.
[0011] Ob ein Programmmodul bzw. eine Funktion (die dann auf einem der Prozessoren ausgeführt wird) als sicherheitskritisch oder als nicht-sicherheitskritisch einzustufen ist, bemisst sich an der Sicherheitsanforderungsstufe, die diese Funktion erfüllen muss. Die Sicherheitsanforderungsstufe ist ein Begriff aus dem Gebiet der funktionalen Sicherheit und wird auch als Sicherheitsintegritätslevel (SIL) bezeichnet. Aus der angestrebten Sicherheitsanforderungsstufe ergibt sich das sicherheitsgerichtete Konstruktionsprinzip, das einzuhalten ist, damit das Risiko einer Fehlfunktion den gestellten Anforderungen genügt.
[0012] Ist eine Funktion als sicherheitskritisch eingestuft, bedeutet dies beispielsweise, dass diese Funktion den Anforderungen von SIL3 oder sogar SIL4 oder SIL2 zu genügen hat. Ist eine Funktion als nicht oder nur in geringem Maße als sicherheitskritisch eingestuft, bedeutet dies beispielsweise, dass die den Anforderungen von SIL0 oder SIL1 zu genügen hat.
[0013] Wenn also nun im Folgenden davon die Rede ist, dass der zweite Prozessor zum Ausführen der sicherheitskritischen Funktionen bzw. Programmmodule der Elektronikeinheit und der erste Prozessor zum Ausführen nur ausschließlich der nicht-sicherheitskritischen Funktionen bzw. Programmmodule ausgeführt ist, ist darunter zu verstehen, dass der zweite Prozessor höheren Sicherheitsanforderungen genügt als der erste Prozessor. Beispielsweise genügt der zweite Prozessor den Sicherheitsanforderungen SIL3 oder SIL4, oder in bestimmten Ausführungen auch lediglich SIL2, wohingegen der erste Prozessor lediglich dem Standard SIL0 oder SIL1 genügt.
[0014] Gemäß einem weiteren Ausführungsbeispiel der Erfindung ist die Elektronikeinheit auch zum Betrieb ohne den zweiten Prozessor ausgeführt. Insbesondere kann die Elektronikeinheit modular ausgeführt sein, so dass sie leicht für den entsprechenden Einsatz zusammengestellt werden kann.
[0015] Gemäß einem weiteren Ausführungsbeispiel der Erfindung sind der erste Prozessor und der zweite Prozessor zum gegenseitigen Datenaustausch ausgeführt.
[0016] In anderen Worten können die sicherheitsgerichteten Funktionen auf dem zweiten Prozessor ausgeführt werden. Benötigt der erste Prozessor nun bestimmte Daten vom zweiten Prozessor, kann der zweite Prozessor diese Daten an den ersten Prozessor übergeben (und umgekehrt). Dieser Datenaustausch wird allerdings von einem Steuerprogramm überwacht, so dass eine Art "Firewall" zwischen den beiden Prozessen etabliert ist, um unbeabsichtigten Datenaustausch zu vermeiden.
[0017] Gemäß einem weiteren Ausführungsbeispiel der Erfindung ist weiterhin ein Echtzeit-Betriebssystem vorgesehen, das den Sicherheitsanforderungen der Elektronikeinheit entspricht und zur Steuerung des Datenaustauschs zwischen den beiden Prozessoren ausgeführt ist.
[0018] Ein solches Betriebssystem kann entweder zentral installiert sein. Auch ist es möglich, dass jeweils ein Betriebssystem auf einem der Prozessoren installiert ist.
[0019] Gemäß einem weiteren Ausführungsbeispiel der Erfindung sind die beiden Prozessoren derart voneinander getrennt, dass Daten in einem Speicher des zweiten Prozessors unabhängig von Daten in einem Speicher des ersten Prozessors sind.
[0020] Die gespeicherten Daten sind also voneinander getrennt. Sollte ein Datenaustausch erforderlich sein, wird dieser von dem Betriebssystem koordiniert.
[0021] Gemäß einem weiteren Ausführungsbeispiel der Erfindung handelt es sich bei den sicherheitskritischen Funktionen beispielsweise um die Messwertbestimmung auf Basis von Sensormessdaten, die der Messsensor der Elektronikeinheit aufgenommen hat. Auch kann es sich um die Ableitung von weiteren Messwerten auf Basis der bereits bestimmten Messwerte und/oder um die Ausgabe von Messwerten und/oder Diagnose von bestimmten Funktionen der Elektronikeinheit bzw. der Feldgeräts handeln.
[0022] Gemäß einem weiteren Ausführungsbeispiel der Erfindung handelt es sich bei den nicht-sicherheitskritischen Funktionen beispielsweise um die Verbindungsherstellung zwischen dem Feldgerät und einer externen Kommunikationseinheit, die Aufzeichnung von Messwerten mit entsprechender Statusinformation über die Zeit, um die Messwertanzeige und/oder eine Werteeinstellung im Feldgerät.
[0023] Gemäß einem weiteren Ausführungsbeispiel der Erfindung ist das Feldgerät als Füllstandradar ausgeführt. Die Kommunikation mit der externen Kommunikationseinheit erfolgt hierbei auf Basis eines Profibus Standards oder eines Foundation Fieldbus Standards. Der zweite Prozessor ist hierbei zur Ausführung der sicherheitskritischen Schichten der Kommunikation und der erste Prozessor zur Ausführung der nicht-sicherheitskritischen Schichten der Kommunikation ausgeführt.
[0024] Gemäß einem weiteren Ausführungsbeispiel der Erfindung weist der zweite Prozessor einen Datenspeicher zum Speichern von Programmmodulen auf, wobei der Datenspeicher in zumindest einen ersten und einen zweiten Speicherbereich aufgeteilt ist, die voneinander getrennt sind. Der erste Speicherbereich speichert diejenigen Programmmodule, die zum sicheren Betrieb der Elektronikeinheit bzw. des Feldgeräts benötigt werden und somit als sicherheitskritisch eingestuft sind, und der zweite Speicherbereich speichert diejenigen Daten, die zum Übertragen an den ersten Prozessor vorgesehen sind.
[0025] Gemäß einem weiteren Ausführungsbeispiel der Erfindung sind die beiden Speicherbereiche Teil einer Speicherverwaltungseinheit, bei der es sich beispielsweise um eine sog. Memory Management Unit (MMU) handelt. Die Speicherverwaltungseinheit dient der Abschottung der Programmmodule und Daten, die auf den verschiedenen Speicherbereichen gespeichert sind. Die Speicherverwaltungseinheit kann eine externe Zusatzkomponente zu einem Mikroprozessor sein. Auch kann sie in den Mikroprozessor integriert sein. Die Speicherverwaltungseinheit regelt insbesondere auch Speicherschutzaufgaben. So können einzelne Speicherbereiche für die Ausführung durch bestimmte Programmmodule oder zum weiteren Beschreiben gesperrt werden.
[0026] Gemäß einem weiteren Ausführungsbeispiel der Erfindung ist die Trennung der beiden Speicherbereiche derart ausgeführt, dass kein im ersten Speicher gespeicherter Wert unbeabsichtigt verändert werden kann, so dass Daten, die im ersten Speicher gespeichert sind, unabhängig von Daten sind, die im zweiten Speicher gespeichert sind.
[0027] Gemäß einem Ausführungsbeispiel der Erfindung ist das Feldgerät ein Füllstandsmessgerät, das Radarsignale, geführte Mikrowellensignale, Ultraschallsignale oder kapazitive Signale verwendet oder auf einem radiometrischen Messprinzip beruht. Auch kann das Feldgerät als Grenzstandmessgerät ausgeführt sein.
[0028] Gemäß einem weiteren Ausführungsbeispiel der Erfindung ist die Elektronikeinheit Bestandteil eines Auswertegeräts oder eines Anzeige- und Bediengeräts.
[0029] Gemäß einem weiteren Ausführungsbeispiel der Erfindung ist ein Verfahren zur Messung und Bestimmung eines Füllstands, eines Drucks und/oder einer Dichte eines Mediums in einem Behälter durch ein Feldgerät angegeben, bei dem sicherheitskritische Funktionen des Feldgeräts durch einen zweiten Prozessor ausgeführt werden und bei dem lediglich nicht-sicherheitskritische Funktionen des Feldgeräts durch einen ersten Prozessor ausgeführt werden.
[0030] Gemäß einem weiteren Ausführungsbeispiel der Erfindung ist ein Programmelement zur Messung und Bestimmung eines Füllstands, eines Drucks und/oder einer Dichte eines Mediums in einem Behälter durch ein Feldgerät angegeben, das, wenn es auf zwei Prozessoren des Feldgeräts ausgeführt wird, die beiden Prozessoren anleitet, die oben angegebenen Verfahrensschritte durchzuführen.
[0031] Dabei kann das Programmelement z. B. Teil einer Software sein, die auf einem Prozessor der Elektronikeinheit bzw. des Feldgeräts gespeichert ist. Der Prozessor kann dabei ebenso Gegenstand der Erfindung sein. Weiterhin umfasst dieses Ausführungsbeispiel der Erfindung ein Programmelement, welches schon von Anfang an die Erfindung verwendet, sowie auch ein Programmelement, welches durch eine Aktualisierung (Update) ein bestehendes Programm zur Verwendung der Erfindung veranlasst.
[0032] Gemäß einem weiteren Ausführungsbeispiel der Erfindung ist ein computerlesbares Medium angegeben, auf dem ein Programmelement zur Messung und Bestimmung eines Füllstands, eines Drucks und/oder einer Dichte eines Mediums in einem Behälter durch ein Feldgerät gespeichert ist, das, wenn es auf zwei Prozessoren des Feldgeräts ausgeführt wird, die Prozessoren anleitet, die oben angegebenen Verfahrensschritte durchzuführen.
[0033] Im Folgenden werden mit Verweis auf die Figuren Ausführungsbeispiele der Erfindung beschrieben.
Kurze Beschreibung der Figuren
[0034]
Fig. 1a zeigt zwei Prozessoren mit Eingängen und Ausgängen gemäß einem Ausführungsbeispiel der Erfindung.
Fig. 1b zeigt beispielhaft eine Darstellung einer Elektronik für ein Füllstandsradargerät gemäß einem Ausführungsbeispiel der Erfindung.
Fig. 2 zeigt eine Darstellung einer Elektronik für ein Feldgerät gemäß einem weiteren Ausführungsbeispiel der Erfindung.
Fig. 3 zeigt eine Darstellung einer Elektronik für ein Feldgerät gemäß einem weiteren Ausführungsbeispiel der Erfindung.
Fig. 4 zeigt ein Füllstandsmessgerät gemäß einem weiteren Ausführungsbeispiel der Erfindung.
Fig. 5 zeigt ein Flussdiagramm eines Verfahrens gemäß einem Ausführungsbeispiel der Erfindung.
Fig. 6 zeigt eine Darstellung einer Elektronik für ein Auswertegerät gemäß einem Ausführungsbeispiel der Erfindung.
Detaillierte Beschreibung von Ausführungsbeispielen
[0036] In der folgenden Figurenbeschreibung werden für die gleichen oder ähnlichen Elemente die gleichen Bezugsziffern verwendet.
[0037] Fig. 1a zeigt zwei Prozessoren mit Eingängen und Ausgängen gemäß einem Ausführungsbeispiel der Erfindung. Der erste Prozessor 102 dient dem Ausführen nicht-sicherheitskritischer Funktionen, der zweite Prozessor 101 dem Ausführen sicherheitskritischer Funktionen. Beide Prozessoren können miteinander kommunizieren. Der erste Prozessor 102 erhält Kommunikations- bzw. Bedienungssignale und der zweite Prozessor erhält sicherheitskritische Eingangsdaten. Der erste Prozessor weist Nicht-SIL-Ausgänge 604 und der zweite Prozessor weist SIL-Ausgänge 603 auf.
[0038] Fig. 1b zeigt beispielhaft eine Darstellung einer Elektronik für ein Füllstandsradargerät, welches einen zweiten Mikrocontroller oder Prozessor 101 und einen ersten Mikrocontroller oder Prozessor 102 aufweist. Die in den Fig. 1 bis 3 dargestellten Elektronikmodule können in verschiedene Feldgeräte oder Auswertegeräte eingebaut sein, beispielsweise in Füllstandradargeräten. Es ist zu beachten, dass die erfindungsgemäßen Elektronikmodule mit ihren beiden Prozessoren auch für Druckmessgeräte oder Dichtemessgeräte verwendet werden können.
[0039] Im Ausführungsbeispiel der Fig. 1 ist ein Netzteil 103 vorgesehen, welches das sog. HF-Frontend 104 mit Energie versorgt. Das HF-Frontend 104 ist an die Messantenne 105 angeschlossen. Das von der Antenne 105 empfangene Messsignal wird über das HF-Frontend 104 an einen Verstärker 106 weitergegeben. Der Verstärker 106 gibt das verstärkte Empfangssignal an den zweiten Prozessor 101 weiter, der die Messwertausgabe über den Stromausgang 107 steuert. Der Stromausgang 107 ist für die Messwertangabe an das Netzteil 103 und somit beispielsweise an eine 4...20mA Zweileiterschleife gekoppelt.
[0040] Natürlich können die Messwerte auch über andere Kommunikationsprotokolle, beispielsweise auch drahtlos über eine Funkverbindung an externe Geräte übergeben werden.
[0041] Der zweite Prozessor 101 ist kommunizierfähig (bi-direktional) mit dem ersten Prozessor 102 gekoppelt, wobei sichergestellt ist, dass vom ersten Prozessor nicht unbeabsichtigt Daten zum zweiten Prozessor übertragen werden können. Der erste Prozessor 102 ist mit einer grafischen Ausgabeeinheit (Display) 109 gekoppelt, um Messdaten zu visualisieren.
[0042] Weiterhin ist der erste Prozessor 102 mit dem HART Bus 108 verbunden, welchem er Daten übertragen kann. Der HART Bus 108 ist kommunizierfähig mit dem Stromausgang 107 gekoppelt (bi-direktional).
[0043] Auch kann der zweite Prozessor 101 auf das HF-Frontend 104 sowie auf den Verstärker 106 zugreifen, beispielsweise in Art einer Regelschleife.
[0044] Ein erfindungsgemäßes Messgerät für eine Prozessvariable wird also mit mindestens zwei Prozessoren aufgebaut. Es können auch mehr Prozessoren vorgesehen sein. Ein Prozessor übernimmt die Aufgaben, die der Sicherheitsfunktion zuzuordnen sind, z. B. die Steuerung der Hardware, die Messung und die Ausgabe des Messwerts. Ein weiterer Prozessor 102 führt die nicht-sicherheitskritischen Aufgaben, wie Bedienung oder Kommunikation aus. Beide Prozessoren kommunizieren miteinander.
[0045] Es sind also die sicherheitskritischen und die nicht-sicherheitskritischen Softwareteile und Hardwareteile voneinander getrennt. Die nicht-sicherheitskritischen Teile können die Sicherheitsfunktion nicht beeinträchtigen. Sicherheitsstandards müssen nur für die Teile des Gerätes angewandt werden, welche die sicherheitskritischen Funktionen durchführen. Das Ergebnis ist ein robusteres Gerät, das mit weniger Aufwand entwickelt werden kann.
[0046] Es ist also eine Trennung zwischen sicherheitskritischen und nicht-sicherheitskritischen Aufgaben innerhalb des Gerätes gegeben. Somit müssen nicht sämtliche Softwareteile und Hardwareteile nach Sicherheits-Standards entwickelt werden.
[0047] Fig. 2 zeigt ein weiteres Ausführungsbeispiel eines Elektronikmoduls, bei dem ebenfalls zwei voneinander getrennte Prozessoren 101, 102 vorgesehen sind.
[0048] Der eine, sicherheitskritische Prozessor 101 weist voneinander getrennte Speicherbereiche 201, 202 auf. Die gestrichelte Linie 207 symbolisiert die Grenze zwischen den beiden Speicherbereichen.
[0049] Weiterhin ist ein Echtzeit-Betriebssystem 203 vorgesehen, welches die Kommunikation zwischen den beiden getrennten Speicherbereichen 201, 202 steuert (siehe Kommunikationspfade 208 und 209).
[0050] Der erste Speicherbereich 201 ist mit dem Messwertaufnehmer 105 (beispielsweise eine Radarantenne oder ein Drucksensor) gekoppelt und wird mit Messwerten versorgt. In diesem Bereich 201 laufen auch die sicherheitskritischen Programmmodule. Benötigt der andere Prozessor 102 Daten des Prozessors 101, werden diese mit Hilfe des Betriebssystems 203 vom ersten Speicherbereich 201 in den zweiten Speicherbereich 202 transferiert und anschließend über den Kommunikationspfad 206 an den Speicherbereich 204 des anderen Prozessors 102 übergeben.
[0052] Es ist also eine Doppeltrennung vorgesehen. Zum einen sind die beiden Prozessoren 101 und 102 voneinander getrennt und zum anderen sind außerdem die Speicherbereiche 201, 202 des Prozessors 101 voneinander getrennt. Auf diese Weise kann die Sicherheit weiter erhöht werden.
[0053] Fig. 3 zeigt ein weiteres Ausführungsbeispiel eines Elektronikmoduls, welches ebenfalls zwei Prozessoren 101, 102 aufweist. Beide Prozessoren weisen jeweils zwei voneinander getrennte Speicherbereiche 201, 202 bzw. 204, 302 auf.
[0054] Beispielsweise kann der Datentransfer von dem ersten, besonders gut gesicherten Speicherbereich 201 des einen Prozessors zum zweiten Speicherbereich 202 lediglich unidirektional erfolgen. Es ist nicht möglich, dass Daten vom zweiten Speicherbereich 202 in den ersten Speicherbereich 201 gelangen.
[0056] Ein Datenaustausch zwischen den beiden Prozessoren kann lediglich zwischen dem zweiten Speicherbereich 202 des einen Prozessors 101 und dem ersten Speicherbereich 204 des anderen Prozessors 102 stattfinden. Das Betriebssystem 205 des Prozessors 102 steuert den Datenaustausch zwischen den beiden Speicherbereichen 204, 302 des Prozessors 102.
[0057] Auch in diesem Prozessor sind die beiden Speicherbereiche 204, 302 voneinander getrennt (siehe gestrichelte Linie 301).
[0058] Handelt es sich bei dem Feldgerät um ein Füllstandsmessgerät nach dem Radar-Prinzip, ist der zweite Prozessor zur Steuerung des HF-Frontends, des Verstärkers und der Berechnung der Messwerte sowie zur Steuerung des Stromausgangs, der dem Messwert entspricht, ausgeführt. Der erste Prozessor steuert ein Anzeige- und Bedienmodul und ist für die Kommunikation zuständig. Die Kommunikation kann z. B. nach dem HART Standard erfolgen.
[0059] Handelt es sich bei dem Feldgerät um ein Feldbus-Gerät, das über den Profibus oder den Foundation Fieldbus Standard kommuniziert, führt der zweite Prozessor zusätzlich die sicherheitskritische Schicht der Kommunikation durch. Der erste Prozessor führt die unteren, nicht-sicherheitskritischen Schichten der Kommunikation aus.
[0060] Auf eben diese Weise können auch radiometrische Füllstands- oder Dichtesensoren ausgeführt sein.
[0061] Fig. 4 zeigt ein Füllstandsmessgerät 100, das in einem Tank 404 eingebaut ist und ein Elektronikmodul mit zwei voneinander getrennten Prozessoren 101, 102 aufweist. Das Füllstandsmessgerät 100 sendet ein Messsignal 401 in Richtung der Oberfläche des Füllguts 402 aus. Dieses Messsignal wird auf der Oberfläche des Füllguts reflektiert und das entsprechende Empfangssignal 403 wird anschließend vom Füllstandsmessgerät 100 aufgenommen und ausgewertet. Über ein Kommunikationsmodul 405 ist eine Kommunikation mit einer externen Auswerteeinheit 406 möglich. Die Kommunikation mit der externen Auswerteeinheit kann drahtgebunden oder drahtlos erfolgen.
[0062] Fig. 5 zeigt ein Flussdiagramm eines Verfahrens gemäß einem Ausführungsbeispiel der Erfindung. In Schritt 501 erfolgt die Ausführung von sicherheitskritischen Funktionen des Feldgeräts durch einen zweiten Prozessor. In Schritt 502 erfolgt die Ausführung von nicht-sicherheitskritischen Funktionen des Feldgeräts durch einen ersten Prozessor. In Schritt 503 werden Daten zwischen den beiden Prozessoren ausgetauscht. Dieser Datenaustausch wird über ein Echtzeit-Betriebssystem des Feldgeräts gesteuert.
[0063] Fig. 6 zeigt eine Schaltung für ein Auswertegerät gemäß einem Ausführungsbeispiel der Erfindung. Das Auswertegerät ist an einen Füllstandsensor 100 angeschlossen. Auch kann es an einen Drucksensor oder einen Dichtesensor oder einen Sensor für eine andere physikalische Größe angeschlossen sein.
[0064] Das Auswertegerät zeichnet sich durch eine modulare Bauweise aus, die eine Trennung von sicherheitskritischen und nicht-sicherheitskritischen Aufgaben ermöglicht.
[0065] Insbesondere weist das Auswertegerät zwei Prozessoren 101, 102 auf. Der erste Prozessor 102 liegt im sog. nicht-sicherheitskritischen Pfad des Auswertegeräts, der einem entsprechend geringem Sicherheitsstandard genügt. Der andere Prozessor 101 ist im sicherheitskritischen Pfad des Auswertegeräts angeordnet, der einem erhöhtem Sicherheitsstandard genügt.
[0066] Der sicherheitskritische Pfad und der nicht-sicherheitskritische Pfad sind durch die gestrichelten Kästen 611, 612 dargestellt.
[0067] Das Elektronikmodul (bzw. das Messgerät oder das Auswertegerät) ist mit mindestens zwei Prozessoren 101, 102 aufgebaut. Ein Prozessor 101 übernimmt die Aufgaben, die der Sicherheitsfunktion zuzuordnen sind, z. B. die Steuerung der SIL-Ausgänge, die Messung, das Durchführen von erforderlichen Diagnosemaßnahmen.
[0068] Der zweite Prozessor 102 führt die nicht-sicherheitskritischen Aufgaben, wie z. B. die Bedienung oder Kommunikation, aus und steuert die Nicht-SIL-Ausgänge. Beide Prozessoren 101, 102 kommunizieren miteinander. Hierfür ist die Kommunikationsleitung 610, beispielsweise zwischen dem Parameterspeicher 628 und der Weiche 634, vorgesehen. Auch der Parameterspeicher 629 ist an die Weiche 634 angeschlossen.
[0069] Der Prozessor 101 führt auf Grundlage des von dem A/D-Wandler 606 gelieferten Sensorwertes vom Sensor 100 die Berechnung des Messwertes aus und steuert die SIL-Ausgänge 603 entsprechend. Die SIL-Ausgänge 603 können Relais oder Stromausgänge sein. Handelt es sich um einen Stromausgang, ist für die Diagnose des Stromausgangs ein weiterer A/D-Wandler 605 nötig, der zwischen dem entsprechenden SIL-Ausgang und dem Prozessor 101 geschaltet ist.
[0070] Der A/D-Wandler 606 ist über die Leitung 608 mit dem Prozessor 101 verbunden. Weiterhin ist dieser Wandler 606 über die Leitung 609 mit dem anderen Prozessor 102 verbunden.
[0071] Der im nicht-sicherheitskritischen Pfad 612 angeordnete Prozessor 102 führt ebenfalls auf Grundlage des von dem A/D-Wandler 606 gelieferten Sensorwertes die Berechnung des Messwertes aus und steuert damit die Nicht-SIL-Ausgänge 604. Außerdem ist der Prozessor 102 für die Bedienung des Sensors und für die Kommunikation (beispielsweise zwischen dem Sensor und einem Anzeige- und Bediengerät) zuständig. Hierfür sind entsprechende Anschlüsse vorgesehen, über welche beispielsweise ein Computer 613 (über z.B. eine USB-, eine RS232- oder eine Ethernet-Schnittstelle) oder eine Gerätebedieneinheit 607 angeschlossen werden können. Über den PC 613 kann die Kommunikation erfolgen.
[0072] Aufgrund der modularen Bauweise des Auswertegeräts kann bei einer Nicht-SIL-Ausführung des Auswertegerätes auf den Prozessor 101, der die Sicherheitsfunktion ausführt, sowie auf den A/D-Wandler 605 und die SIL-Ausgänge 603 verzichtet werden. In diesem Fall werden sämtliche Sensordaten über die Kommunikationsleitung 609 an den Prozessor 102 übergeben. Durch die modulartige Trennung zwischen sicherheitskritischen und nicht-sicherheitskritischen Software-und Hardwareteilen erfolgt lediglich eine unterschiedliche Hardware-Bestückung für die SIL- und die Nicht-SIL-Ausführung der Elektronikeinheit.
[0073] Statt einem Sensor 100 im sicherheitskritischen Pfad können auch mehrere Sensoren im sicherheitskritischen Pfad angeschlossen sein. Die Sensorwerte können sowohl von dem Prozessor 102 als auch von dem Prozessor 101 verarbeitet werden. Auch ist ein zusätzlicher Anschluss von Sensoren nur an den Prozessor 102 möglich. Bei diesen Sensoren handelt es sich um solche Sensoren, die nur für die Messwertverarbeitung im nicht-sicherheitskritischen Pfad zur Verfügung stehen.
[0074] Es erfolgt also eine Trennung zwischen sicherheitskritischen und nicht-sicherheitskritischen Software- und Hardwareteilen. Nicht-sicherheitskritische Teile können die Sicherheitsfunktion nicht beeinträchtigen. Sicherheitsstandards müssen nur für diejenigen Teile des Geräts angewandt werden, die im sicherheitskritischen Pfad liegen. Das Ergebnis ist ein Auswertegerät oder allgemein eine Elektronikeinheit, welche durch Bestückung mit einem Prozessor in nicht-sicherheitskritischen Anwendungen eingesetzt werden kann, während bei einer Bestückung mit zwei oder mehr Prozessoren ein Einsatz auch in sicherheitskritischen Anwendungen möglich ist.
[0075] Bei nicht-sicherheitskritischen Anwendungen ist also der sicherheitskritische Pfad entbehrlich. Auch ist keine Diagnoseschaltung in einem solchen sicherheitskritischen Pfad notwendig.
[0076] Durch den modularen Aufbau ist es möglich, durch einfache Um- oder Nichtbestückung ohne spezielle neue Firmware eine Ausführungsform für sicherheitskritische Anwendungen zusammenzustellen und eine zweite, einfachere Ausführungsform für nicht-sicherheitskritische Anwendungen.
[0077] Ergänzend ist darauf hinzuweisen, dass "umfassend" und "aufweisend" keine anderen Elemente oder Schritte ausschließt und "eine" oder "ein" keine Vielzahl ausschließt. Ferner sei darauf hingewiesen, dass Merkmale oder Schritte, die mit Verweis auf eines der obigen Ausführungsbeispiele beschrieben worden sind, auch in Kombination mit anderen Merkmalen oder Schritten anderer oben beschriebener Ausführungsbeispiele verwendet werden können. Bezugszeichen in den Ansprüchen sind nicht als Einschränkung anzusehen.
1. Elektronikeinheit für die Füllstandmessung, die Druckmessung oder die Dichtemessung
eines Mediums in einem Behälter, insbesondere für ein Messgerät oder ein Auswertgerät,
die Elektronikeinheit aufweisend:
einen ersten Prozessor (102);
einen zweiten Prozessor (101);
wobei die Elektronikeinheit zum Ausführen von sicherheitskritischen und nicht-sicherheitskritischen Funktionen ausgeführt ist;
wobei der erste Prozessor (102) zum Ausführen nur der nicht-sicherheitskritischen Funktionen und der zweite Prozessor (101) zum Ausführen der sicherheitskritischen Funktionen ausgeführt ist.
2. Elektronikeinheit nach Anspruch 1,
wobei die Elektronikeinheit auch zum Betrieb ohne den zweiten Prozessor (101) ausgeführt ist.
wobei die Elektronikeinheit auch zum Betrieb ohne den zweiten Prozessor (101) ausgeführt ist.
3. Elektronikeinheit nach Anspruch 1 oder 2,
wobei der erste Prozessor (102) und der zweite Prozessor (101) zum gegenseitigen Datenaustausch ausgeführt sind.
wobei der erste Prozessor (102) und der zweite Prozessor (101) zum gegenseitigen Datenaustausch ausgeführt sind.
4. Elektronikeinheit nach Anspruch 3,
wobei weiterhin ein Echtzeit-Betriebssystem (203) vorgesehen ist, das den Sicherheitsanforderungen der Elektronikeinheit entspricht und zur Steuerung des Datenaustauschs zwischen den Prozessoren (101, 102) ausgeführt ist.
wobei weiterhin ein Echtzeit-Betriebssystem (203) vorgesehen ist, das den Sicherheitsanforderungen der Elektronikeinheit entspricht und zur Steuerung des Datenaustauschs zwischen den Prozessoren (101, 102) ausgeführt ist.
5. Elektronikeinheit nach einem der vorhergehenden Ansprüche,
wobei die beiden Prozessoren (101, 102) derart voneinander getrennt sind, dass Daten in einem Speicher (201) des zweiten Prozessors (101) unabhängig von Daten in einem Speicher (204) des ersten Prozessors (102) sind.
wobei die beiden Prozessoren (101, 102) derart voneinander getrennt sind, dass Daten in einem Speicher (201) des zweiten Prozessors (101) unabhängig von Daten in einem Speicher (204) des ersten Prozessors (102) sind.
6. Elektronikeinheit nach einem der vorhergehenden Ansprüche,
wobei die sicherheitskritischen Funktionen ausgewählt sind aus der Gruppe aufweisend Messwertbestimmung auf Basis von Sensormessdaten, Ableitung von weiteren Messwerten aus Basis bereits bestimmter Messwerte, Ausgabe von Messwerten, und Diagnose.
wobei die sicherheitskritischen Funktionen ausgewählt sind aus der Gruppe aufweisend Messwertbestimmung auf Basis von Sensormessdaten, Ableitung von weiteren Messwerten aus Basis bereits bestimmter Messwerte, Ausgabe von Messwerten, und Diagnose.
7. Elektronikeinheit nach einem der vorhergehenden Ansprüche,
wobei die nicht-sicherheitskritischen Funktionen ausgewählt sind aus der Gruppe aufweisend Verbindungsherstellung zu einer externen Kommunikationseinheit (405), Aufzeichnung von Messwerten mit Statusinformation über die Zeit, Messwertanzeige, und Werteeinstellung im Feldgerät.
wobei die nicht-sicherheitskritischen Funktionen ausgewählt sind aus der Gruppe aufweisend Verbindungsherstellung zu einer externen Kommunikationseinheit (405), Aufzeichnung von Messwerten mit Statusinformation über die Zeit, Messwertanzeige, und Werteeinstellung im Feldgerät.
8. Elektronikeinheit nach einem der vorhergehenden Ansprüche,
wobei die Elektronikeinheit Bestandteil eines Füllstandsensors, Druckmessgeräts oder Dichtemessgeräts (100) ist.
wobei die Elektronikeinheit Bestandteil eines Füllstandsensors, Druckmessgeräts oder Dichtemessgeräts (100) ist.
9. Elektronikeinheit nach Anspruch 8,
wobei eine Kommunikation mit einer externen Kommunikationseinheit (405) auf Basis eines Profibus Standards oder eines Foundation Fieldbus Standards erfogt;
wobei der zweite Prozessor (101) sicherheitskritische Schichten der Kommunikation ausführt und wobei der erste Prozessor (102) nicht-sicherheitskritische Schichten der Kommunikation ausführt.
wobei eine Kommunikation mit einer externen Kommunikationseinheit (405) auf Basis eines Profibus Standards oder eines Foundation Fieldbus Standards erfogt;
wobei der zweite Prozessor (101) sicherheitskritische Schichten der Kommunikation ausführt und wobei der erste Prozessor (102) nicht-sicherheitskritische Schichten der Kommunikation ausführt.
10. Elektronikeinheit nach einem der Ansprüche 1 bis 7,
wobei die Elektronikeinheit Bestandteil eines Auswertegeräts oder eines Anzeige- und Bediengeräts ist.
wobei die Elektronikeinheit Bestandteil eines Auswertegeräts oder eines Anzeige- und Bediengeräts ist.
11. Elektronikeinheit nach einem der vorhergehenden Ansprüche,
wobei der zweite Prozessor (101) einen Datenspeicher zum Speichern von Programmmodulen aufweist;
wobei der Datenspeicher in zumindest einen ersten und einen zweiten Speicherbereich (201, 202) aufgeteilt ist, die voneinander getrennt sind;
wobei der erste Speicherbereich (201) diejenigen Programmmodule speichert, die zum sicheren Betrieb des Feldgerätes (100) benötigt werden und somit als sicherheitskritisch eingestuft sind;
wobei der zweite Speicherbereich (202) diejenigen Daten speichert, die zum Übertragen an den ersten Prozessor (102) vorgesehen sind.
wobei der zweite Prozessor (101) einen Datenspeicher zum Speichern von Programmmodulen aufweist;
wobei der Datenspeicher in zumindest einen ersten und einen zweiten Speicherbereich (201, 202) aufgeteilt ist, die voneinander getrennt sind;
wobei der erste Speicherbereich (201) diejenigen Programmmodule speichert, die zum sicheren Betrieb des Feldgerätes (100) benötigt werden und somit als sicherheitskritisch eingestuft sind;
wobei der zweite Speicherbereich (202) diejenigen Daten speichert, die zum Übertragen an den ersten Prozessor (102) vorgesehen sind.
12. Verfahren zur Messung und Bestimmung eines Füllstands, eines Drucks oder einer Dichte
eines Mediums in einem Behälter durch ein Feldgerät, das Verfahren aufweisend die
Schritte:
Ausführen nur von nicht-sicherheitskritischen Funktionen des Feldgeräts durch einen ersten Prozessor (102);
Ausführen von sicherheitskritischen Funktionen des Feldgeräts durch einen zweiten Prozessor (101).
13. Programmelement zur Messung und Bestimmung eines Füllstands, eines Drucks oder einer
Dichte eines Mediums in einem Behälter durch ein Feldgerät, das, wenn es auf zwei
Prozessoren des Feldgeräts ausgeführt wird, die Prozessoren anleitet, die folgenden
Schritte durchzuführen:
Ausführen nur von nicht-sicherheitskritischen Funktionen des Feldgeräts durch einen ersten Prozessor (102);
Ausführen von sicherheitskritischen Funktionen des Feldgeräts durch einen zweiten Prozessor (101).
14. Computerlesbares Medium, auf dem ein Programmelement zur Messung und Bestimmung eines
Füllstands, eines Drucks oder einer Dichte eines Mediums in einem Behälter durch ein
Feldgerät gespeichert ist, das, wenn es auf zwei Prozessoren des Feldgeräts ausgeführt
wird, die Prozessoren anleitet, die folgenden Schritte durchzuführen:
Ausführen nur von nicht-sicherheitskritischen Funktionen des Feldgeräts durch einen ersten Prozessor (102);
Ausführen von sicherheitskritischen Funktionen des Feldgeräts durch einen zweiten Prozessor (101).
Geänderte Patentansprüche gemäss Regel 137(2) EPÜ.
1. Elektronikeinheit für die Füllstandmessung, die Druckmessung oder die Dichtemessung
eines Mediums in einem Behälter, insbesondere für ein Messgerät oder ein Auswertgerät,
die Elektronikeinheit aufweisend:
wobei die Elektronikeinheit zum Ausführen von sicherheitskritischen und nichtsicherheitskritischen Programmmodulen ausgeführt ist;
wobei der zweite Prozessor (101) höheren Sicherheitsanforderungen genügt als der erste Prozessor (102).
einen ersten Prozessor (102);
einen zweiten Prozessor (101);
wobei der erste Prozessor (102) und der zweite Prozessor (101) zum Ausführen von Programmmodulen ausgeführt sind;wobei die Elektronikeinheit zum Ausführen von sicherheitskritischen und nichtsicherheitskritischen Programmmodulen ausgeführt ist;
wobei der zweite Prozessor (101) höheren Sicherheitsanforderungen genügt als der erste Prozessor (102).
2. Elektronikeinheit nach Anspruch 1,
wobei die Elektronikeinheit auch zum Betrieb ohne den zweiten Prozessor (101) ausgeführt ist.
wobei die Elektronikeinheit auch zum Betrieb ohne den zweiten Prozessor (101) ausgeführt ist.
3. Elektronikeinheit nach Anspruch 1 oder 2,
wobei der erste Prozessor (102) und der zweite Prozessor (101) zum gegenseitigen Datenaustausch ausgeführt sind.
wobei der erste Prozessor (102) und der zweite Prozessor (101) zum gegenseitigen Datenaustausch ausgeführt sind.
4. Elektronikeinheit nach Anspruch 3,
wobei weiterhin ein Echtzeit-Betriebssystem (203) vorgesehen ist, das den Sicherheitsanforderungen der Elektronikeinheit entspricht und zur Steuerung des Datenaustauschs zwischen den Prozessoren (101, 102) ausgeführt ist.
wobei weiterhin ein Echtzeit-Betriebssystem (203) vorgesehen ist, das den Sicherheitsanforderungen der Elektronikeinheit entspricht und zur Steuerung des Datenaustauschs zwischen den Prozessoren (101, 102) ausgeführt ist.
5. Elektronikeinheit nach einem der vorhergehenden Ansprüche,
wobei die beiden Prozessoren (101, 102) derart voneinander getrennt sind, dass Daten in einem Speicher (201) des zweiten Prozessors (101) unabhängig von Daten in einem Speicher (204) des ersten Prozessors (102) sind.
wobei die beiden Prozessoren (101, 102) derart voneinander getrennt sind, dass Daten in einem Speicher (201) des zweiten Prozessors (101) unabhängig von Daten in einem Speicher (204) des ersten Prozessors (102) sind.
6. Elektronikeinheit nach einem der vorhergehenden Ansprüche,
wobei die sicherheitskritischenProgrammmodule ausgewählt sind aus der Gruppe aufweisend Messwertbestimmung auf Basis von Sensormessdaten, Ableitung von weiteren Messwerten aus Basis bereits bestimmter Messwerte, Ausgabe von Messwerten, und Diagnose.
wobei die sicherheitskritischenProgrammmodule ausgewählt sind aus der Gruppe aufweisend Messwertbestimmung auf Basis von Sensormessdaten, Ableitung von weiteren Messwerten aus Basis bereits bestimmter Messwerte, Ausgabe von Messwerten, und Diagnose.
7. Elektronikeinheit nach einem der vorhergehenden Ansprüche,
wobei die nicht-sicherheitskritischen Programmmodule ausgewählt sind aus der Gruppe aufweisend Verbindungsherstellung zu einer externen Kommunikationseinheit (405), Aufzeichnung von Messwerten mit Statusinformation über die Zeit, Messwertanzeige, und Werteeinstellung im Feldgerät.
wobei die nicht-sicherheitskritischen Programmmodule ausgewählt sind aus der Gruppe aufweisend Verbindungsherstellung zu einer externen Kommunikationseinheit (405), Aufzeichnung von Messwerten mit Statusinformation über die Zeit, Messwertanzeige, und Werteeinstellung im Feldgerät.
8. Elektronikeinheit nach einem der vorhergehenden Ansprüche,
wobei die Elektronikeinheit Bestandteil eines Füllstandsensors, Druckmessgeräts oder Dichtemessgeräts (100) ist.
wobei die Elektronikeinheit Bestandteil eines Füllstandsensors, Druckmessgeräts oder Dichtemessgeräts (100) ist.
9. Elektronikeinheit nach Anspruch 8,
wobei eine Kommunikation mit einer externen Kommunikationseinheit (405) auf Basis eines Profibus Standards oder eines Foundation Fieldbus Standards erfogt;
wobei der zweite Prozessor (101) sicherheitskritische Schichten der Kommunikation ausführt und wobei der erste Prozessor (102) nicht-sicherheitskritische Schichten der Kommunikation ausführt.
wobei eine Kommunikation mit einer externen Kommunikationseinheit (405) auf Basis eines Profibus Standards oder eines Foundation Fieldbus Standards erfogt;
wobei der zweite Prozessor (101) sicherheitskritische Schichten der Kommunikation ausführt und wobei der erste Prozessor (102) nicht-sicherheitskritische Schichten der Kommunikation ausführt.
10. Elektronikeinheit nach einem der Ansprüche 1 bis 7,
wobei die Elektronikeinheit Bestandteil eines Auswertegeräts oder eines Anzeige- und Bediengeräts ist.
wobei die Elektronikeinheit Bestandteil eines Auswertegeräts oder eines Anzeige- und Bediengeräts ist.
11. Elektronikeinheit nach einem der vorhergehenden Ansprüche,
wobei der zweite Prozessor (101) einen Datenspeicher zum Speichern von Programmmodulen aufweist;
wobei der Datenspeicher in zumindest einen ersten und einen zweiten Speicherbereich (201, 202) aufgeteilt ist, die voneinander getrennt sind;
wobei der erste Speicherbereich (201) diejenigen Programmmodule speichert, die zum sicheren Betrieb des Feldgerätes (100) benötigt werden und somit als sicherheitskritisch eingestuft sind;
wobei der zweite Speicherbereich (202) diejenigen Daten speichert, die zum Übertragen an den ersten Prozessor (102) vorgesehen sind.
wobei der zweite Prozessor (101) einen Datenspeicher zum Speichern von Programmmodulen aufweist;
wobei der Datenspeicher in zumindest einen ersten und einen zweiten Speicherbereich (201, 202) aufgeteilt ist, die voneinander getrennt sind;
wobei der erste Speicherbereich (201) diejenigen Programmmodule speichert, die zum sicheren Betrieb des Feldgerätes (100) benötigt werden und somit als sicherheitskritisch eingestuft sind;
wobei der zweite Speicherbereich (202) diejenigen Daten speichert, die zum Übertragen an den ersten Prozessor (102) vorgesehen sind.
12. Verfahren zur Messung und Bestimmung eines Füllstands, eines Drucks oder einer Dichte
eines Mediums in einem Behälter durch ein Feldgerät, das Verfahren aufweisend die
Schritte:
Ausführen nur von nicht-sicherheitskritischen Programmmodulen des Feldgeräts durch einen ersten Prozessor (102);
Ausführen von sicherheitskritischen Programmmodulen des Feldgeräts durch einen zweiten Prozessor (101), der höheren Sicherheitsanforderungen genügt als der erste Prozessor (102).
13. Programmelement zur Messung und Bestimmung eines Füllstands, eines Drucks oder einer
Dichte eines Mediums in einem Behälter durch ein Feldgerät, das, wenn es auf zwei
Prozessoren des Feldgeräts ausgeführt wird, die Prozessoren anleitet, die Schritte
des Verfahrens nach Anspruch 12 durchzuführen.
14. Computerlesbares Medium, auf dem ein Programmelement zur Messung und Bestimmung eines
Füllstands, eines Drucks oder einer Dichte eines Mediums in einem Behälter durch ein
Feldgerät gespeichert ist, das, wenn es auf zwei Prozessoren des Feldgeräts ausgeführt
wird, die Prozessoren anleitet, die Schritte des Verfahrens nach Anspruch 12 durchzuführen.